Hadoop YARN ResourceManager 未授权访问漏洞复现

Vulnhub官方复现教程

https://vulhub.org/#/environments/hadoop/unauthorized-yarn/

漏洞原理

http://archive.hack.lu/2016/Wavestone - Hack.lu 2016 - Hadoop safari - Hunting for vulnerabilities - v1.0.pdf

复现过程

这里使用的是vulhub提供的docker靶机地址：https://vulhub.org/#/environments/hadoop/unauthorized-yarn/

靶机开启后可在本地http://192.168.139.131:8088/cluster 8088端口查看到hadoop内容

利用的exp脚本如下：

在本地监听9999端口，然后运行exp即可收获shell

posted @ 2020-07-08 17:19 web黄金矿工阅读(1756) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部

Live2D